Netherlands

Risk Impact: veiligheid onder vuur

 

Zomereditie 2017

Risk Impact is een uitgave van Aon Global Risk Consulting (AGRC), waarin de actuele risico’s en hun potentiële impact voor het Nederlands bedrijfsleven worden besproken. Iedere maand blikken we terug: wat speelt er in de wereld, wat betekent dit voor u en wat kunt u doen om de impact op uw bedrijf te beheersen en beperken?

Even volledig loskomen van de dagelijkse gang van zaken: dat is waar de zomer voor de meesten van ons om draait. Wat dat betreft verliepen de afgelopen maanden anders. Zowel fysiek als digitaal stond onze veiligheid regelmatig onder druk.

Eerst kwam in juli het bericht dat we besmette eieren aten, met mogelijke nier-, lever- en schildklierschade als gevolg. Daarna hield het Petya-virus de wereld in zijn greep. Onder meer bij Maersk ontstonden grote operationele problemen en waren de kosten fors. Maar de koek bleek nog niet op: heel Europa schrok in augustus op van terroristische aanslagen in Spanje. Wat kunt u als ondernemer van deze hete zomer leren?

 

Fipronil: op zoek naar schuld


Om stofjes in eieren kraaide nooit een haan, totdat deze zomer in diverse kippenstallen Fipronil werd ontdekt. Dit middel was hoogstwaarschijnlijk toegevoegd aan een mengsel van etherische oliën, zoals menthol en eucalyptus – een luizenbestrijdingsmiddel, dat door het Barneveldse Chickfriend geleverd was. Toen het Fipronilgehalte in ‘besmette’ eieren meer dan tweemaal hoger bleek dan de toegestane EU-norm, werden acuut alle schappen leeggehaald en miljoenen eieren vernietigd: een totale recall.

In Nederland ligt niet alleen Chickfriend, maar ook de Nederlandse Voedsel- en Warenautoriteit (NVWA) onder vuur. Beiden zouden te traag handelen en onduidelijk communiceren. De reputatieschade voor de sector is nu al aanzienlijk, de financiële schade voor diverse partijen enorm.

Inmiddels, bijna twee maanden later, speelt de eiercrisis in bijna 45 landen. Niet alleen kippenboeren zijn slachtoffer: ook alle producten met sporen van ei – o.a. kippenvlees, mayonaise en koekjes – liggen onder de loep. Steeds vaker komt de vraag wie voor alle kosten op moet draaien.

 

De schade verhalen
Om meerdere redenen is het verhalen van schade bij dit incident een lastige kwestie:

  • Het terughalen en/of vernietigen van producten wordt zelden door een traditionele aansprakelijkheidsverzekering gedekt. Die beperkt zich tot lichamelijke en materiële schade. Een productcontaminatieverzekering kan uitkomst bieden.
  • De schade verhalen bij Chickfriend lijkt ook een probleem. Als er sprake is van grove schuld of opzet is de vraag namelijk of en hoeveel de verzekeraar van Chickfriend uitkeert.
  • De NVWA aansprakelijk stellen is moeilijk: in beginsel hebben toezichthouders beleids- en beoordelingsvrijheid in de uitvoering van hun taak en het gebruik van de bijbehorende bevoegdheden. Alleen bij een concrete aanleiding tot ingrijpen en nalatigheid van de NVWA kan een schadeclaim op zijn plaats zijn.

 

Wat is de impact voor u?
Voor beter zicht op mogelijke schade bij voedselveiligheidsscenario’s binnen uw bedrijf kan een scenarioanalyse op het gebied van aansprakelijkheid helpen. U kunt daar ook uw risicofinanciering inclusief aansprakelijkheidsverzekering op afstemmen. Met de Aon Liability Limiet Meter kunt u een globale inschatting van dit risico maken.

 

Terrorisme: van verijdeling tot voorbereiding


Een inmiddels klassieke vraag drong zich op na de aanslagen in Barcelona: wat kunnen we doen als bescherming tegen terrorisme? De eigen voorbereiding van organisaties is een deel van de oplossing. Het verijdelen van aanslagen is grotendeels in handen van de Europese inlichtingendiensten, maar vraagt ook om persoonlijke alertheid van burgers. Hoe dan ook: aanslagen voorspellen blijft moeilijk.

Fysieke maatregelen ter bescherming van mensenmassa’s kunnen een oplossing zijn. Daarvan zijn inmiddels ook in Nederland de eerste voorbeelden een feit. Daar waar de vraag van winkeliers in de Amsterdamse Kalverstraat om betonblokken vooralsnog afgewezen is, plaatst Rotterdam betonnen bloembakken bij de drukbezochte Markthal. De alertheid op een aanslag van burgemeester Aboutaleb en de Rotterdamse veiligheidsdiensten bleek afgelopen zomer uit het afgelaste concert van de Amerikaanse band Allah-Las in de Maassilo. Die ingreep volgde na een tip van de Spaanse politie.

Weet u welke risico’s terreur voor úw organisatie opleveren? Na Barcelona ligt het antwoord voor de hand als u actief bent in de retailsector: winkelstraten zijn een gewild doelwit. Wees ook alert als u vestigingen heeft op terrorismegevoelige locaties, zoals een groot havengebied of een luchthaven. Ga na in welke situaties uw medewerkers terecht kunnen komen, en kijk vooruit: hoe zorgt u ervoor dat zij bij zo’n incident adequaat kunnen reageren? Weet het management wat er dan van hen wordt verwacht? Meer over dit onderwerp leert u tijdens het seminar ‘Wat te doen bij (de dreiging van) terrorisme’ van Aon.

 

 

Petya: voorkomen is beter dan genezen


Kort na de grootschalige Wannacry hack, confronteerde Petya organisaties over de hele wereld deze zomer opnieuw met kwetsbaarheden in verouderde versies van Windows. Opvallend was Oekraïne als het primaire doelwit van de aanval: metro’s in Kiev vielen stil, de centrale bank werd geraakt en vele andere organisaties in het land hadden te lijden onder de aanval. Maar Petya beperkte zich niet tot Oekraïne: in totaal werden wereldwijd ongeveer 7.000 organisaties geraakt door het virus.

Ook in de Rotterdamse haven was de impact enorm. Diverse terminals lagen dagenlang stil, met verstoorde logistieke ketens over de hele wereld tot gevolg. De impact op de Rotterdamse haven is logischerwijs een van de meest uitgemeten voorbeelden in Nederland. Veel schepen moesten uitwijken naar andere terminals met vertraging en aanvullende kosten als gevolg. Over de totale schade kan op dit moment slechts worden gespeculeerd. Dat de schade in de honderden miljoenen dollars loopt, staat wel vast. Maersk, een van de grotere getroffen partijen, heeft volgens eigen berichtgeving al 200 tot 300 miljoen dollar schade geleden.

Hoewel er, zelfs voordat de Wannacry-aanval plaatsvond, beveiligingsupdates beschikbaar waren, maakt de grootschalige impact van Petya opnieuw duidelijk dat zowel patch management – het doorvoeren van systeem- en beveiligingsupdates – als een goede back-up strategie – het beschikken over ‘schone’ back-ups – voor veel organisaties nog steeds geen prioriteit heeft.

 

Bent u voorbereid op een cyberaanval?
Wilt u vaststellen of uw organisatie voorbereid is op een inbreuk op de systemen? Geef dan eerlijk antwoord op de volgende vragen:

  • Wanneer was de laatste keer dat u het patchbeheerprogramma heeft beoordeeld? En uw ICT Disaster Recovery- of Business Continuity Plan?
  • Weet u precies waar al uw kritische gegevens zich bevinden en of er regelmatig back-ups worden gemaakt?
  • Biedt uw cyberverzekering passende dekking? En heeft u de nodige stappen genomen om er zeker van te zijn dat u aanspraak kunt maken op de polis als uw bedrijf getroffen wordt?
  • Informeert u uw medewerkers over de laatste phishing technieken?
  • Heeft u een Incident Response Plan? En is het plan recentelijk getest zodat medewerkers op de hoogte zijn van hun rol tijdens een aanval?
  • Zijn alle technische en procedurele beheersmaatregelen geïmplementeerd en werken zij naar behoren?
  • Is uw beveiliging recent getest? En heeft u acties ondernomen op basis van de verkregen resultaten?

 

Wilt u voorbereid zijn als de volgende cyberaanval plaatsvindt? Voor meer informatie verwijzen wij graag naar onze brochure ‘Cyberrisiomanagement: investeren in veiligheid’.